Juniper网络准入控制解决方案

需求分析
随着企业信息化程度的提高，数量众多的桌面PC管理成为系统管理员越来越重要的工作，目前企业拥有上百台PC机及终端。

系统管理员在日常维护过程中主要面临以下问题，而这些问题，既给系统管理员带来沉重的工作负担，也会严重影响企业的业务运作。

数量众多
在信息系统中桌面系统（PC）的数量往往是最多的，这些桌面系统往往很分散，分布于不同的楼层，甚至分布于不同的大楼，加上使用这些桌面系统的用户技能水准差异很大，使得管理维护工作很困难；
病毒和安全攻击
病毒、蠕虫和间谍软件等新兴网络安全威胁继续损害客户利益并使机构损失大量的金钱、生产率和机会。

与此同时，移动计算的普及进一步加剧了威胁。

移动用户能够从家里或公共热点连接互联网或办公室网络—常在无意中轻易地感染病毒并将其带进企业环境，进而感染网络。

频繁的病毒和安全攻击使得桌面系统的维护工作量剧增。

据IDG对病毒统计报告显示，每年新出现的的病毒种类大多数是针对Windows操作系统的病毒。

由于未及时打操作系统补丁、未及时升级防病毒软件、绕过网络安全设施随意上Internet网、外来机器的接入、外来程序的拷贝等原因，组织内部的PC机很容易被攻击和被病毒感染；
软件升级与补丁安装：
为解决安全问题，管理员经常需要在多台机器上安装同一个软件或补丁，如操作系统补丁包，传统的手工安装要花费系统管理员大量时间；
远程监控与维护
为提高效率，系统管理员经常需要做远程支持，帮助用户快速及时解决PC 机问题。

系统管理员与PC机用户仅依靠电话很难远程解决问题。

网络接入控制
随着企业日益严重依赖网络业务，日益迫切需要为所有用户提供轻松的网络接入，并且企业对网络的依赖性越来越严重，因此网络变得空前关键且更易遭受攻击。

因此，支持用户接入任何资源，无论是分类文档中的数据、病人健康信息、还是知识资产，始终需要在接入价值与安全风险之间找到最佳平衡点。

事实上，仅靠网络边缘的外围设备已无法保证安全性。

边缘安全措施无法保护内部网络段，也无法替代主机安全措施。

即便企业运行着防火墙等网络周边安全机制，病毒和电子邮件蠕虫、特洛伊木马、拒绝服务攻击和其他恶意行为仍频繁利用最终用户设备渗入企业环境。

即时消息传递（IM）或对等间应用(P2P)等新技术也带来了新型威胁，新型威胁可以完全绕过网络周边的安全设备。

企业力求通过策略控制这些技术的使用，但此类策略在传统网络中几乎无法执行。

如果您使用电子邮件并拥有Web内容、面向公众的服务器或者移动用户，那么您的网络必定会频繁遭受各种类型的攻击。

而且，这些威胁和安全漏洞比想象的更难以觉察、更加危险——移动代码可以通过安全的（但可移动的）PC进入网络。

目前大部分终端在接入网络的时候，都没有经过严格的身份认证，对终端也没有有效的验证手段。

无法对终端接入网络之前，进行有效的合法性，安全性的检查。

受病毒感染的终端，未打补丁的终端如果随意接入网络，势必给整个网络的安全带来重大的隐患。

选择适合的网络准入控制产品
为了解决以上安全以及管理问题，使得整合系统内的终端高效的运行，同时也为了帮助管理的工作，减轻管理员的负担，考虑建设桌面安全和终端准入控制系统。

系统应该至少具备如下特性：
1．终端安全性检查。

包括Windows补丁检查，防病毒软件版本、病毒特征库版本检查，违规软件安装检查；共享目录检查；分区表检查；不同用户组的不同安全策略；
2．网络强制身份认证。

支持用户名、密码；Windows域认证等认证方式，支持RADIUS认证；AAA 权限认证。

3．防火墙/IDP（4－7层）
4. 支持802.1X的交换机，AP（2层准入）
5．根据安全策略，对不满足安全策略的终端不予以网络接入。

6．防病毒，终端防护软件(端点)
7. 统一终端管理：
·基于网络地址，用户身份，终端状态的控制
·统一配置的个人防火墙策略
·对终端提供修复功能
8. 支持最多的终端防护软件
·预定义的检查：防病毒，个人防火墙，防恶意软件，操作系统等
·自定义检查：JEDI，自定义文件，进程，注册表等
·无需客户端的手工安装
·通过浏览器自动的下载安装，减少管理员的工作量
9．对用户的主机实现跨操作系统平台的支持。

10．对用户网络改动最小、最少。

Juniper 网络公司统一接入控制（UAC）是全面的网络接入控制解决方案，结合了基于标准的强大的用户验证和授权功能、基于身份的策略控制和管理以及
端点安全性和智能，以便将接入控制扩展到整个企业网络中。

通过将业界标准与经过业界测试的、得到普遍认可的网络和安全产品集成在一起，Juniper 网络公司UAC 解决方案可帮助企业对试图接入网络的用户和设备提前进行安全策略遵从检查，并在用户接入企业网络和资源的整个过程中对会话进行全程跟踪检查。

这种方法可帮助企业确保全面遵从安全策略，有效抵御频繁变化的网络威胁。

UAC v2.0 解决方案通过第 3 层—第 7 层覆盖功能。

Juniper 网络公司统一接入控制 v2.0 是非常灵活的解决方案，能够将用户身份、设备安全状态信息和网络位置信息结合在一起，为每名用户创建特定会话的接入控制策略。

Juniper 统一接入控制解决方案
企业网络必须为更为多样化的用户——访客、承包商和移动员工——提供接入服务，他们中的某些人会使用自己的设备接入网络。

用户可能在无意中下载一些受感染的文件，并使用这些受感染的设备直接连接到您的网络。

或者他们只是从您的局域网中接入互联网而得不到适当的安全保护，从而将您的网络暴露于大量威胁之中。

此外，当您提供网络接入服务时，必须对网络接入进行极细粒度的控制，以保护公司资产的安全性并满足法规遵从要求。

应对问题：
Juniper UAC统一访问控制解决方案主要解决用户网络面临的如下问题：
1.不同用户的网络准入控制问题。

2.不同用户终端的应用访问控制问题以及权限定制和分发问题。

3.终端的安全性评估与管理问题。

4.相关法案，Sarbanes-Oxley （塞班斯法案）。

)符合性和审计的要求。

解决方案的特性：
Juniper UAC统一访问控制解决方案，采用了业界公认的标准（包括802.1x 和TNC等），将用户终端的身份标识、网络标识和终端安全状况进行集中的认证
和授权，并且将用户权限和策略自动的下发到网络当中的执行点（包括防火墙、交换机和无线接入点等）上，实现了统一的接入控制和访问控制。

该方案可以实现以下功能：
1.基于终端的身份标识、网络标识和终端状况的统一的认证和授权。

2.终端安全状况的检查，如检查防病毒软件是否更新，补丁是否健壮等，对于
不符合安全策略的主机，可以进行修复。

3.利用网络当中已有的防火墙、交换机和无线接入点等网络和网络安全设备，
对内部网络终端的接入和访问进行控制。

4.对于关键的业务和通讯，自动启用IPSec 连接，保证敏感数据传输的安全性。

5.用户终端访问整个过程中的安全检查，保证安全的连续性。

解决方案好处：
1.针对终端的安全防护：UAC方案可以对终端进行安全检查，对于不符合安全
策略的主机进行修复，同时提供个人防火墙功能，提供对终端的访问保护。

2.针对终端的访问控制：将用户终端的身份标识、网络标识和终端安全状况进
行集中的认证和授权，统一的在网络控制点进行策略的下发。

3.充分利用已有的网络和网络安全投资，由于Juniper方案当中采用标准的接
口，可以很好的与业界的其他方案，如防病毒，补丁管理、AAA认证方案进行整合。

Juniper解决方案优势：
1.真正支持标准的解决方案，不局限于单独厂商的方案，用户可以在相关领域
当中选择最佳或者最为适合的产品。

2.良好的用户体验，不需要管理员为每个终端单独安装客户端软件，软件采用
自动定向和下载安装的方式安装，大大减少管理员工作量和工程建设周期。

3.支持所有类别的用户，如员工、承包商和访客等，对用户的主机实现跨操作
系统平台的支持。

非常适合于分阶段的实施。

用户可以根据网络的实际情况，选择性的对防火墙或者交换机这些2－7层的控制器进行部署，实现不同的控制级别。

Juniper UAC 构成：
Juniper 统一接入控制（UAC）解决方案 v2.0包括用作集中策略管理器的Infranet 控制器；以及作为可动态下载的端点软件的 UAC 代理（对于不支持下载的客户端，如客户端的设备；
控制器和代理还包含 Juniper 通过在 2005 年收购 Funk Software 获得的整合特性，如Odyssey Access Client（OAC）802.1X 请求特性和Steel-Belted Radius 身份认证服务。

Infranet 控制器是经过加固的策略管理服务器，可收集用户验证、端点安全状态和设备位置信息，并将此类信息与策略相结合来控制网络、资源和应用接入。

随后，控制器在分配 IP 地址前在网络边缘通过802. 1X 并且／或在网络核心通过防火墙将这个策略传递给执行器。

同时使用这两类执行点可进一步提高接入控制粒度。

UAC 代理是允许动态下载的软件代理，可由控制器实时设置，通过 Juniper Installer Service 安装或通过其他方法进行部署。

代理同时提供 Juniper OAC 的集成 802. 1X 功能以及 L3－7 覆盖功能，如用于在客户端动态执行策略的集成个人防火墙。

代理还包括面向 Windows 设备的特定功能，如 IPSec VPN（允许实现从端点到防火墙的加密）和 Active Directory 单一登录等。

代理提供的主机检查器功能也被部署在已售出的几千个 Juniper Secure Access SSL VPN 产品中，允许管理员扫描端点以了解各种安全应用／状态，包括但不限于防病毒、防恶意软件和个人防火墙等。

UAC 代理可通过预定义的主机检查策略以及
防病毒签名文件的自动监控功能来评估最新定义文件的安全状态，从而简化部署工作。

UAC 还允许执行定制检查任务，如对注册表和端口状态进行检查，并可执行 MD5 校验和检查，以验证应用是否有效。

UAC 工作原理
在用户向控制器提交认证信息前，用户请求（802.1X 或非 802.1x 模式，通过设置用于端点的基于浏览器的代理提供）便揭示了大量不同的最终用户特征，包括源 IP 和 MAC 地址、网络接口（内部或外部）、数字证书（如果存在的话）、浏览器类型、SSL 版本以及端点安全检查结果等。

用户提交了认证信息后，控制器将通过全面的验证、授权和记账引擎，支持几乎所有常用的 AAA 设置中，包括现有的 RADIUS、LDAP、AD、Netegrity SiteMinder、证书／ PKI 服务器及匿名验证服务器等。

控制器将用户认证信息以及组群或属性信息（如组群的成员关系）与认证信息输入之前收集到的信息相关联，包括由主机检查器收集的信息，从而能够将用户动态映射到接入控制的第二步──面向会话的角色。

角色属性可包括会话属性／参数，也可为用户规定映射到角色之前必须满足的限制性条件，这在注重安全性并要求必须遵守规章制度的环境中非常有用。

接入控制的第三步即最后一步是制订资源策略，以管理网络和资源的接入。

例如 VLAN 分配及／或供应商特定的属性等基于 L2 RADIUS 属性的策略以及管
理对 IP 地址／子网掩码及／或端口接入的 L3 策略。

IDP 策略或 URL 过滤等
L7 策略提供更动态的威胁管理。

典型部署方式
Juniper UAC的统一访问控制解决方案部署简单易用，不会对用户网络有任何修改。

如果网络当中已经部署了防火墙设备(FW)，终端安全保护软件（如防病毒，补丁管理），身份认证系统（AAA），只需要再添加一台Juniper IC设备，作为整体的用户认证和访问策略的管理，我们就可以充分的利用已有的网络安全建设，结合IC的策略管理，完成统一的访问控制。

UAC的解决方案对最终的用户是透明的，终端电脑无需预先安装客户端软件，利用IE对访问重定向的技术，终端用户也无需主动到IC上进行认证，方便了最终用户的体验。

产品介绍
Juniper 网络公司统一接入控制 v2.0（UAC v2.0）解决方案将用户身份、设备安全状态信息和网络位置信息结合在一起，为每名用户创建特定会话的接入控制策略。

您可使用802.1X 将其部署在第 2 层，或使用防火墙的部署方法将其部署在第 3 层。

您也可使用混合模式来设置 UAC v2.0，将 802.1X 用于网络准入控制并将第 3 层设置用于资源接入控制。

UAC v2.0 解决方案中的产品包括：
Infranet 控制器，作为安全策略的集中引擎和面向现有企业 AAA 基础设施的连接点。

控制器还提供来自 SBR 的集成 802.1X 功能。

UAC 代理，可由 Infranet 控制器动态部署；在单一部署中，UAC 代理提供通过 OAC功能在第 2 层接入网络的方法、在第 3 层接入网络的方法、主机检查器、主机执行器和状态检测个人防火墙。

您也可在无代理模式中设置接入，如访客部署模式，但此时您将无法下载任何软件。

Infranet 控制器
Juniper 统一接入控制解决方案的核心是 Infranet 控制器，这个控制器是经过强化的策略管理服务器，可将 UAC 代理部署到端点（或者以无代理模式来收集信息），以便获得用户验证、端点安全状态和设备位置信息。

Infranet 控制器将这些信息结合起来，以创建动态策略。

然后，这些动态策略通过整个网络传播到策略执行点，这些执行点既可在通过 802.1X 授予 IP 地址之前部署在网络边缘，也可部署在网络内部的防火墙上，或者同时部署在这两处，以提供更高的细粒度。

Infranet 控制器将 Juniper 业界领先的Secure Access SSL VPN 策略控制引擎与企业现有的 AAA ／身份识别及接入管理基础设施无缝集成，并允
许使用授权目录中的群组关系。

控制器能够在会话期间按照管理员定义的频率重复开展这些评估，以确保实现动态的策略管理与执行，并对违规用户应用细粒度的、策略特定的纠正功能。

Infranet 控制器可设置为审计模式，从而无需执行策略也能够获悉法规遵从情况。

Infranet 控制器包含两种型号：Infranet 控制器 4000（IC 4000）和Infranet 控制器 6000（IC 6000）。

IC 4000 设计用于满足中型企业或远程／分支办事处的需求，它能够通过扩展，同时处理几千个端点，并可通过群集对的部署，以提供高可用性。

IC6000 设计用于大型企业，能够同时处理几万个并发端点。

IC6000 提供大量的高可用性特性，包括可升级的热插拔电源以及硬盘等。

IC 6000 可部署在多单元群集中，用于提高性能并提供更高的可扩展性。

UAC 代理
UAC 代理是允许动态下载的软件代理，可由 Infranet 控制器实时设置，通过 Juniper Installer Service 安装或通过其他方法进行部署。

UAC 代理同时提供来自 Juniper Odyssey Access Client 的集成 802. 1X 功能以及第 3 层—第 7 层功能，如在客户端侧动态执行策略的集成个人防火墙。

UAC 代理还包括面向 Windows 设备的特定功能，如 IPSec VPN（允许实现从端点到防火墙的加密）和Active Directory 单一登录等。

主机检查器功能允许管理员扫描端点以了解各种安全应用／状态，包括但不限于防病毒、防恶意软件和个人防火墙等。

UAC 还可执行对组件的定制检查，如对注册表和端口状态进行检查，并可执行MD5 校验以验证应用是否有效。

通过预定义的主机检查器策略，以及通过防病毒特征文件的自动监控功能来监测最新定义文件以进行安全状态评估，还可以简化部署工作。

特性和优势
统一接入控制解决方案的主要特性和优势可概括为以下三个主要方面：
• 将用户身份识别、设备安全评估以及网络信息和策略执行结合在一起，以实现动态的接入控制
• 基于标准的解决方案
• 利用现有的 AAA、交换和安全基础设施投资。